В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор

Если не пихать в cmake лапшу всякую, то ничего не ломается

Скрипты для autoconf пишутся на наркоманском макроязыке m4, который настолько чудовищен

Да так-то не более чудовищен, чем остальные.

В подавляющем большинстве проектов эти скрипты пишутся тупо копипастой

Нынешним программистам бы вообще натягать окошек мышкой в каком-нибудь Visual C/Delphi, и всё.

Фейковое скорее всего

Я знал, что autotools редкая шиза

К сожалению нет. Многие зеачимые проекты такие как GCC и Wine всё ещё их используют.

постоянно ломающийся с обновлением cmake

На сегодня в Gentoo поддерживают 4 слота для autotools, плюс пятый для сборки из git. То есть 5 несовместимых версий. Для cmake версий тоже 5, но слот один. Все старые несовместимые версии считают уже неактуальными.

По мере того, как старые авторы стареют и уходят на покой, совместимость ломают всё меньше и меньше :)

Основная проблема(техническая) заключается в текстовой скриптоте. Автотулзы, цмаке, пистон - неважно что именно там. Да, «статические» языки(раст) и языки с «развитым метапрограммированием»(лисп) проблеме также подвержены. Как и препроцессор в сишке. Хоть шеллы и самый яркий пример подобного, но присутствует эта проблема в любых макросах.

Текст никак не структурирован, и в общем случае не запустив портянку на исполнение нельзя сказать что там в этом тексте лежит. Как определить, что делает такой код(не запуская его): cat $(sha256sum /x/y/z)? Никак - там и cat, и sha могут являться чем угодно. И это всего простенький пример. Как-то проверить подобный код не представляется возможным, даже IDE никакой(хотя бы минимальной) поддержки не даёт(а если даёт, то появляются: 1 - адские лаги, 2 - исполнение любого кода уже в IDE). Сильнейшая зависимость от окружения в довесок.

В результате аудит затруднён, копаться в этом вручную без всякого ассиста(тот же самый запуск на исполнение, только мысленно) желающих также мало. Поэтому мне не ясно, почему тут так много разговоров про автотулзы в то время как проблема общая.

Другого у нас не имеется, а это можно увидеть

По мере того, как старые авторы стареют и уходят на покой, совместимость ломают всё меньше и меньше :)

старые уходят - приходят молодые (недоросли) и ломают все чаще и круче! :о)

я не понимаю почему вы обсуждаете эту саму-по-себе интересную тему в треде про xz, но раз уж вы всё равно обсуждаете…

а планов по AV1 нету? аппаратная поддержка как энкода, так и декода становится +- попсовой в железе, поэтому было бы клёво её иметь.

ещё вопрос в воздух: как у RFB с инпутом вне клавомыши (гейм контроллеры, джостики, вот это вот всё)

AV1 в железе есть только у относительно новых устройств, в отличие от h264, поддержка которого в железе появилась лет 15 назад.

Джойстики как раз норм, а вот наоборот с поддержкой мыши там не все гладко и управление в играх требует костыля в виде отдельной переключалки на относительное управление.

AV1 в железе есть только у относительно новых устройств

Я бы сказал не относительно новых, а очень новых.

Я бы сказал не относительно новых, а очень новых.

«очень новые» это релиз 3 года назад (rdna2, series30, xe), если что. и я бы не ожидал, что вся бюрократия и реализация займут меньше ещё пары лет.

а планов по AV1 нету? аппаратная поддержка как энкода, так и декода становится +- попсовой в железе, поэтому было бы клёво её иметь.

Не, нету. Я вообще все это делаю в рамках PiKVM, поэтому работаю в том направлении, где есть подходящие для малины кодеки.

как у RFB с инпутом вне клавомыши (гейм контроллеры, джостики, вот это вот всё)

Вот тут есть какое-то расширение, но не факт, что найдутся клиенты, которые это поддерживают.

На самом деле, RFB это натуральный мезозойский ужоснах и набор костылей, стоящих друг на друге. Это я заявляю, как человек, написавший с нуля свой собственный RFB-сервер :D Базовая работа с инпутами устроена очень примитивно - в виде X11-сканкеев, что исключает возможность работы с клавиатурой напрямую, для этого есть QEMU-расширения для передачи физических кнопок. Чтобы качественно поддерживать именно геймпады со всеми их фичами, нужно по-хорошему делать специальное расширение для них. Я бы сделал что-нибудь типа generic usb hid messages, чтобы прокидывать все хиды в общим виде.

Джойстики как раз норм

В каком клиенте? А вибрации и тактильная отдача в новых геймпадах?

Окей, замени Windows 95 на Motif/Athena. Они рисовали на CPU 100% и при этом были быстрее чем GTK4.

Нет, конечно.

Простое перетаскивание окна тогда делалось через рамку превью, и только когда пользователь отпускал кнопку окно перерисовывалось в новом месте.

Это заявление так же верно, как и бесполезно. Потому что единственная альтернатива скриптам — бинарный блоб. Давайте везде накидаем бинарных блобов и там уже всё равно будет, что куда там подставляется, потому что всё равно никто ничего не проверит.

Нет, никаких «бинарных блобов» не существует. Да и вся работа у тебя в системе выполняется теми самыми «бинарными блобами». Поэтому к чему эти пассажи про «Давайте везде накидаем бинарных блобов»? Из них уже и так всё состоит.

Альтернатива скриптам - статический язык. Точнее это не альтернатива, а основа и где-то сбоку как клей выполняющий ~0% полезной работы существуют ещё и скрипты. «альтернатива скриптам» - это перл 80 lvl.

 По мере того, как старые авторы стареют и уходят на покой, совместимость ломают всё меньше и меньше :)

старые уходят - приходят молодые (недоросли) и ломают все чаще и круче! :о)

А молодые предпочитают написать своё с нуля :)

Простое перетаскивание окна тогда делалось через рамку превью, и только когда пользователь отпускал кнопку окно перерисовывалось в новом месте.

В смысле? Делался скриншот окна и его таскали по экрану? Или рисовало пустую рамку и пользователь таскал её? Последнее — для Windows 95 неверно.

А в чем бекдор? Я подозреваю, что он позволяет под рутом авторизоваться по ssh. Кто-то на хетцнере кучу серваков похекал

Turbovnc видел на видео, сам не пробовал, и kasm пробовал сам. Вибрацию не помню, не проверял. Для игорь я переключился на sunshine, там и звук и вибрация присутствует, нет только мультипользователя, по сути аналог rustdesk.

В смысле? Делался скриншот окна и его таскали по экрану? Или рисовало пустую рамку и пользователь таскал её? Последнее — для Windows 95 неверно.

В смысле таскалась рамка. Просто границы прямоугольника. Таскать изображение, хотя бы даже скриншот - это было слишком дорого.

Пользователь таскал пустую рамку. В 95й винде была галочка, которая позволяла таскать окна. Я не уверен, что она включалась по умолчанию.

В 95й винде была галочка, которая позволяла таскать окна. Я не уверен, что она включалась по умолчанию.

Возможно, это зависело от сборки. Потому что я начинал видеть пустую рамку только после ковыряния в настройках.

Версия проверочного скрипта на Python'е:

#!/usr/bin/python3
import os
import re
import sys

def check_lzma_lib_signature(filename):
    with open(filename, 'rb') as f:
        data = f.read()

    signature = re.findall('(?<=f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410)(.)*', data.hex())

    if signature and len(signature[0]) > 0:
        return True
    else:
        return False

# Set the path for the LZMA library files
lib_paths = ['/lib/', '/lib64/']

# Check the signature for all LZMA library files
for path in lib_paths:
    lzma_lib_file = os.path.join(path, 'liblzma.so.5')
    if os.path.exists(lzma_lib_file):
        if check_lzma_lib_signature(lzma_lib_file):
            print("Probably vulnerable")
            sys.exit(0)

# If none of the files are vulnerable, print accordingly
print("Probably not vulnerable")

написать своё с нуля :)

ну тоесть, поломано сразу и все это «бесконечная история»... в исполнении «роллинго-стоунзов». зато мейнстримненько со свистопирделками и ... пестрыми рабочими обойками.

п.с. «писать с нуля» - это как раз единственно нормальный путь, иначе как еще «учиться»?! другое дело, что «одно - другому» не мешает :о)

Было бы неплохо к подобным новостям прилагать краткое описание назначения обсуждаемого софта в целом

старые уходят - приходят молодые (недоросли) и ломают все чаще и круче! :о)

Во-во. :-)

Уязвимость в подсистеме io_uring, позволяющая получить привилегии root

Что ни день, то праздник.

Текст никак не структурирован, и в общем случае не запустив портянку на исполнение нельзя сказать что там в этом тексте лежит.

В cmake структурирован, в meson тоже.

Нет, не структурирован. ${A} - что лежит в A и во что это раскроется?

В A не лежит код, этого вполне достаточно.

написать своё с нуля :)

ну тоесть, поломано сразу и все это «бесконечная история»… в исполнении «роллинго-стоунзов». зато мейнстримненько со свистопирделками и … пестрыми рабочими обойками.

За редкими исключениями, переписывание с нуля приносит только опыт. Все продолжают плеваться, но пользуются кривым, но полнофункциональным старьём.

На Оупеннете несколько новостей в продолжение:

https://www.opennet.ru/opennews/art.shtml?num=60888 — блокировка защиты Landlock лишней точкой.

https://www.opennet.ru/opennews/art.shtml?num=60885 — бэкдор оказался опаснее, можно вызвать system(), не оставив следа в логах.

https://www.opennet.ru/opennews/art.shtml?num=60873 — хронология.

За редкими исключениями ... приносит только опыт

из вашего предложения следует что - опыт-то, как минимум, приносит?! это не противоречит с моими мыслями :о)
труд - есть опыт! какой-бы он не был. другое дело, то, кому этот опыт принадлежит и как он этим воспользуется. вот тут вот загвоздочка, епрст! имхо. :о)

url

Проект FuryGpu развивает GPU на базе FPGA

какое это имеет отношение к топику?

Нет, не достаточно. То, что в cmake нет eval - следствие его малых возможностей. Это не делает текст применимым. Ситуация та же, что и с cpp - пока оно мало что может, явных проблем вроде не возникает. Только вот что делать, когда понадобятся большие возможности? Вариантов два: добавить макросню, или выкинуть текст.

И да, разницы между кодом и не кодом нет. Чтобы код появился, его нужно написать/сгенерировать. Тот же cmake делает что - генерирует код. Поэтому разница между есть eval/нет есть только в простых случаях.

Нет, не достаточно. То, что в cmake нет eval - следствие его малых возможностей. Это не делает текст применимым. Ситуация та же, что и с cpp - пока оно мало что может, явных проблем вроде не возникает. Только вот что делать, когда понадобятся большие возможности? Вариантов два: добавить макросню, или выкинуть текст.

И да, разницы между кодом и не кодом нет. Чтобы код появился, его нужно написать/сгенерировать. Тот же cmake делает что - генерирует код. Поэтому разница между есть eval/нет есть только в простых случаях.

Хоспади… cmake и meson можно прочитать глазами. Если там будет подозрительная срань – её будет сразу видно, потому что обычный meson это список object file’ов и циклы. m4 глазами прочитать нельзя, там ад и червие.

Вот собственно и все, поэтому автолулзы с точки зрения аудирования – сосут.

cmake и meson можно прочитать глазами
cmake

get_filename_component(COMPILER_BASENAME "${CMAKE_CXX_COMPILER}" NAME)
    if (COMPILER_BASENAME MATCHES "^(.+-)?(clang\\+\\+|[gc]\\+\\+|clang-cl)(-?[0-9]+(\\.[0-9]+)*)?(-[^.]+)?(\\.exe)?$")
      set(_CMAKE_TOOLCHAIN_PREFIX ${CMAKE_MATCH_1})
      set(_CMAKE_TOOLCHAIN_SUFFIX ${CMAKE_MATCH_3})
      set(_CMAKE_COMPILER_SUFFIX ${CMAKE_MATCH_5})
    elseif(CMAKE_CXX_COMPILER_ID MATCHES "TIClang")
       if (COMPILER_BASENAME MATCHES "^(.+)?clang(\\.exe)?$")
         set(_CMAKE_TOOLCHAIN_PREFIX "${CMAKE_MATCH_1}")
         set(_CMAKE_TOOLCHAIN_SUFFIX "${CMAKE_MATCH_2}")
       endif()
    endif ()
 file(READ "${INPUT}" _tmp)
  foreach(_tmp_regex "%{([^%}]+)}" "%([^%]+)%")
    string(REGEX MATCHALL "${_tmp_regex}" _tmp_vars "${_tmp}")
    while(_tmp_vars)
      foreach(_tmp_var ${_tmp_vars})
        string(REGEX REPLACE "${_tmp_regex}" "\\1"
          _tmp_var_name "${_tmp_var}")
        if(DEFINED ${_tmp_var_name})
          set(_tmp_var_value "${${_tmp_var_name}}")
        elseif(NOT "$ENV{${_tmp_var_name}}" STREQUAL "")
          set(_tmp_var_value "$ENV{${_tmp_var_name}}")
        else()
          set(_tmp_var_value "")
        endif()
        string(REPLACE "${_tmp_var}" "${_tmp_var_value}" _tmp "${_tmp}")
      endforeach()
      string(REGEX MATCHALL "${_tmp_regex}" _tmp_vars "${_tmp}")
    endwhile()
  endforeach()

Я могу на чем угодно такое написать.

Простое перетаскивание окна тогда делалось через рамку превью, и только когда пользователь отпускал кнопку окно перерисовывалось в новом месте.

При этом даже простых карт с поддержкой 2D-ускорения (не 3D!) хватало уже, чтобы с нормальной скоростью перетаскивать окно целиком без превью. А таких карт в 1995-м году уже полно было, наверное, любая PCI-карта уже была с 2D ускорением.

Сейчас блин без OpenGL с шейдерами уже не могут.

Шикарный язык, чо. Это всё потому, что айтишники провинились перед Богом.

Я могу на чем угодно такое написать.

Ты близок к разгадке….

Мде...

А может, если для сборки недостаточно Makefile и она превращается в целую программу, то и писать ее на обычном программируемом языке? Только не на sh всяких конечно.

Если язык не будет позволять создавать цикл, раскрывать по тупому переменные внутри строк, то не сможешь. Сборочная система не должна быть языком программирования.

Это если что от авторов CMake, профессионалов своего дела, обычный программист напишет хуже.

А может, если для сборки недостаточно Makefile и она превращается в целую программу, то и писать ее на обычном программируемом языке? Только не на sh всяких конечно.

На чем-нибудь типа LUA или JS было бы в самый раз.

Сборочная система не должна быть языком программирования.

Чойта не должна.

Ты близок к разгадке….

Нет. На meson ты можешь писать понятные вещи, на m4 это невозможно в принципе, там все будет лапша.

Ты проигнорировал всё и ничего не ответил. Давай я тебе вопрос задам: почему cmake написан на сишке, а не на самом себе? Там, понятно, не aot и что-то минимальное на сишке там и так будет. Но почему та же генерация make там также на си, хотя к языку это не относится?

К тому же, ты уже съехал с темы на «можно прочитать глазами». Глазами можно прочитать что угодно. Задача состоит в том, чтобы прочитать мог язык/иде, а далее дать тебе ассист, чтобы ты не «читал глазами» тысячи строк.

Если язык не будет позволять создавать цикл, раскрывать по тупому переменные внутри строк, то не сможешь. Сборочная система не должна быть языком программирования.

Смогу. Если ты посмотришь на стандартный сценарий meson, он выглядит вот так: https://github.com/swaywm/sway/blob/master/meson.build

Там все понятно и нет страшной магии.